Un empresario de Lanús, que fue estafado por ciberdelincuentes en casi $9 millones a través de su homebanking, logró un fallo favorable sin precedentes: el banco que permitió que esto ocurriera deberá devolverle $12 millones más intereses.
El delito de phishing, que fue cometido el 31 de marzo de 2023, tuvo como blanco al socio gerente de la pyme Quateck S.R.L. Ese día, al hombre le sustrajeron $ 8.737.109 de su cuenta corriente de un banco privado. Luego comprobó que ese dinero había ido a parar a cuentas de desconocidos a través de varias transferencias bancarias.
Una vez detectadas estas maniobras fraudulentas, hizo el reclamo en el banco pero la resolución fue desfavorable. Esta situación lo llevó a presentar una denuncia civil ante el Juzgado en lo Civil y Comercial Número 19 de La Plata.
En un fallo meduloso, la jueza María Cecilia Tanco determinó que el hombre fue víctima de una estafa mediante la intromisión de un “malware” en la computadora en la que estaban almacenadas las claves de acceso. El fallo tiene la singularidad de que, si bien la ley de Defensa del Consumidor contempla la protección de persona físicas y jurídicas, los bancos se oponían a que estas últimas fueran consideradas consumidores.
Además, la magistrada concluyó que la debilidad de los sistemas de seguridad del banco en materia operaciones electrónicas de personas jurídicas -en los que no existe validación biométrica y no cumplen con los estándares de seguridad necesarios- permitió que se hicieran las transferencias a siete cuentas de destino diferentes en cuestión de minutos para dejar la cuenta con saldo “cero” en apenas segundos.
Al ser consultado, Marcelo Szelagowski, abogado de la Pyme, dijo que la magistrada “es un ejemplo de aggiornamiento en materia derecho del consumidor” ya que “no sólo protegió a las pequeñas empresas y personas jurídicas aplicando sin titubeos la Ley de Defensa del Consumidor, sino que subrayó la falta de seguridad de la que adolecen las operaciones electrónicas”.
Szelagowski dijo que “es inaceptable que el sistema de seguridad del banco no haya interceptado un simple malware”. En este caso, “le permitió el acceso a todos los fondos de mi cliente sin generar sospechas ante la entidad bancaria y transferir millones a cuentas destino con los que el cliente nunca había operado”.
El paso a paso del ciberdelito
A las 15.17 horas del día de los hechos, el empresario estaba por realizar una operación bancaria con su notebook para lo cual debía acceder al homebanking encontrándose el usuario y la contraseña previamente cargados en Google porque su clave estaba guardada.
Al ingresar, pudo ver el saldo de su cuenta e intentó realizar una transferencia para un proveedor marcándole error. Lo extraño fue que el CBU figuraba tildado y le apareció un símbolo del número “Pi” entre el tercer y cuarto dígito del CBU del cliente.
Al intentar hacer la transferencia, apareció un cartel del banco que decía “realizando autentificación del certificado digital”. Al minuto, la página le solicitó un código que le habían enviado a su celular. Tras colocar el mismo, el sistema le solicitó otro para desbloquear el homebanking y finalmente logró realizar la transferencia.
Lo mismo ocurrió varias veces después: el cartel no se iba y le solicitaba un nuevo código. Al advertir que era una situación atípica, el empresario llamó inmediatamente al banco, donde un operador le informó que no se reportaban problemas. Le sugirió que llamara al soporte técnico del banco y allí le pidieron que hiciera una captura de pantalla pero no pudo hacerlo porque su pantalla había quedado congelada.
En ese momento le indicaron que era un intento de fraude y quedaron en comunicarse con él. Luego, el hombre reinició la notebook pero su pantalla seguía inmovilizada. Horas después pudo constatar que la cuenta corriente de la empresa había quedado con un millón de pesos negativo ya que en la misma había 7.732.588,24 y el total de los montos transferidos fue de $8.737,109.
Postura del banco
En la mediación, el abogado del banco explicó que se debía desestimar la demanda porque se trató de una negligencia del empresario ya que el usuario y la contraseña estaban guardados en su notebook.
Sin embargo, el perito informático determinó que los montos no habituales de las transferencias, las características de las cuentas destino y la reducida ventana de tiempo en la que se desarrollaron todas las operaciones hacían sospechar de que se trataban de transacciones fraudulentas; las cuales no fueron advertidas por el sistema de seguridad informático del banco.
Incluso, calificó como inadecuados los controles de autentificación del banco permitiendo que terceros accedieran al sistema informático suplantando la identidad física y digital de la parte actora. Puntualizó que era posible que hubiera dos ingresos simultáneos al homebanking y que el sistema de seguridad informático del banco no detectó el acceso no autorizado, por lo que no pudo bloquearlo.